Bilgi güvenliğine yönelik tehditler ve vakalar son yıllarda önemli ölçüde artmıştır. Artan tehditlerle başa çıkabilmek için yalnızca teknik çözümler değil, aynı zamanda güvenlik politikaları da olmak zorundadır.
Bununla birlikte, çalışanlar bu politikalara nadiren uymakta ve örgütlerinin varlıklarını ve işletmelerini riske atmaktadır. Bu endişeyi gidermek için önceki bölümde bahsedildiği üzere birkaç bilgi güvenliği politikası standardı oluşturulmuştur.
Güvenlik teknolojilerinin gelişmesiyle birlikte teknik açıkları kullanabilmek daha da zorlaşmaya başladığından, saldırganlar bilgi güvenliği uygulamaları sürecinde zafiyet düzeyi en yüksek bağlantı noktası olan insan faktörünü baskı altına almaya çalışmaya başlamıştır.
Herhangi bilişim - iletişim sistemi içinde bilgilere - verilere sahip olabilmek, bilgileri - verileri kullanabilmek ya da bilişim - iletişim sistemini yöneten olmak kişiyi bilgi güvenliği konusunda sorumlu kıldığından, bilgi güvenliği konusunda farkındalığa sahip olmak, su istimallerin ve kasıtlı tehditlerin önüne geçilmesinde ilk adım olabilmektedir.
Bilgiye erişimin değerli olduğu kadar, onu korumak da bir o kadar değerlidir. Bu nedenle şahsi bilgi ve verilerin gizliliğinden başlayarak örgütlerin işletme sırları – know how , fikri mülkiyet haklarına kadar ulaşabilen skalada bireylerin internet, sosyal medya ve iletişimlerinde bilginin değeri önlenemez biçimde artmıştır. Bilgi toplumuna geçiş ile birlikte bireyler, kurumlar, toplumlar ve devletler, sahip olduğu maddi manevi değerlerin yanında bilgi çağının bir ürünü olan bilgiyi ve değerini korumayı da başarmak zorundadır.
İŞLETMELERDE BİLGİ GÜVENLİĞİ
İşletmelerde bilgi güvenliği uygulamalarındaki asıl amaç, en öncelikle kurum iş görenleri olması kaydıyla tüm paydaşların, kurumun en değerli varlığı olan bilginin korunmasında üzerine düşen görev ve sorumlulukları anlamalarını sağlamaktır.
Kurum için kritik öneme sahip olan bu durumdan, kurumun bilgi güvenliği politikasında açıkça tanımlanan çalışanları, paydaşları ve hatta tedarikçileri olmak üzere tüm bireyler sorumludur. Kurumların bilgi güvenliğinde bilginin ne tür saldırı ve tehditlere karşı korunması gerektiği konusundaki bilinçlendirme çalışmaları yapılmalıdır. Bu nedenle kurumlarda nasıl ki her çalışan iş tanımında yer alan görevlerden sorumlu tutulmaktaysa, aynı şekilde bilgi güvenliğini de iş görevi olarak sorumlu tutulmalıdır.
Bilgi güvenliği eğitim ve teknoloji gibi faktörlerin yanı sıra insan faktöründen de etkilenmektedir. Bu nedenle bireysel aktörlerin ve kurum içinde çalışanların yönetimi ile ilgili konuların ihmali, bilgi güvenliğini olumsuz etkilemektedir. Bilgi güvenliği, bilgiye erişimin kolay olduğu bir ortamda bilginin göndericisinden çıkıp alıcısına ulaşana kadar gizliliğinin sağlanması, içeriğinin bozulmadan alıcısına ulaşması ve üçüncü kişiler tarafından ele geçirilmeden güvenli bir şekilde iletilmesi sürecidir. Bilgiyi kullanan da insan olduğuna göre, en ufak bir ihmalkârlık, bilgi güvenliğini tehlikeye düşürmektedir.
Bilgi güvenliği konusundaki en büyük ihmallerden biri, bireyin, kurumun ya da kuruluşun genellikle başlangıç safhasında disiplinli bir şekilde önleyici tedbirler almaktansa, tehlikeli saldırı veya tehdit meydana geldiğinde, güvenlik konusunda karşı tedbirler alma eğiliminde olmasıdır. Bundan dolayı özellikle bilgi güvenliğinden sorumlu yöneticilerin, sonrasında ise tüm çalışanların bilgi güvenliği farkındalığı, bilgi güvenliği kültürünün oluşumuna da olumlu etki etmektedir.
Bilginin yönetimi kadar bilgi - verilerin güvenlik altına alınması da olabildiğince komplike bir prosestir. Kurumsal - kişisel bilgilerin güvenliğinin yalnızca güvenlik duvarı, VPN, anti virüs gibi teknik önlemlerle sağlanması mümkün değildir. Bu nedenle bilgi – veri güvenliklerinin oluşturulmasında sadece teknik baza dayanan tedbirlere ilave olarak da çalışan – insan unsurunu da dikkate alarak bilgi güvenliği konusundaki farkındalığı artırmak, bilgi güvenliği konusundaki en temel çıkış noktasıdır.
Bilgi güvenliği konusundaki en büyük yanlış inançlardan biri de bilgi güvenliğinin yalnızca bilişim uzmanlarının sorumluluğunda olan bir konu olmasıdır. İnternetin kanuni olmayan metotlarla üçüncü kişilerden ya da işletmelerden yaralanmayı amaçlayan iyi niyetli olmayan birçok kişiye geniş olanaklar sağladığı malumdur. Bilginin adeta açık hedef haline geldiği günümüzde siber suçlara meyilli bilişim korsanlarının son kullanıcılara ait bilgisayarlara da saldırı düzenlemeleri adeta vaka-i adiyedir. Bu nedenle, konuyu yalnızca bilişim uzmanlarının sorumluluğuna bırakmak, konunun önemini yeterince kavrayamamaktır.
Bilgi teknolojileri konusunda yapılan bir başka yanlış, kurumlardaki projelerde güvenliği en başta projeye katmaktansa, projenin sonunda ve alelacele projeye katılması, bu durumun da analiz, tasarım, test ve kontrol süreçlerinde projeye olumsuz yansımasıdır. Hâlbuki bilgi güvenliği, projelerin en sonuna eklenebilecek bir yama değildir. Bu yaklaşım bilgi güvenliğini tehlikeye attığı gibi projeyi de başarısızlığa uğratacaktır. Bu nedenle bilgi güvenliği en baştan itibaren sürecin doğal bir parçası olmalıdır.
Bilgi güvenliğinde iş görenlerin bilgi ve veri yaklaşım şekilleri, davranışları, görüşleri, tutumlar normal sınırların üzerinde olmalıdır. Ayrıca bilgi güvenliği, yalnızca bilişim uzmanlarının eline bırakılmamalı, aksine tüm örgütün gün içindeki aktivitelerinin her bir noktasında olmalıdır. İş görenlerin veri -bilgi güvenliği konusundaki davranış ve tutumları, kurumun bilgi güvenliği kültürünün oluşumuna da katkı sağlayacaktır.
Öneri ve görüşleriniz için [email protected] adresime ileti gönderebilirsiniz ya da İletişim sayfasından alternatif iletişim adreslerime ulaşabilirsiniz.
İyi çalışmalar...